阿里云漏洞库

漏洞描述

The Ocean Extra WordPress plugin before 2.0.5 unserialises the content of an imported file, which could lead to PHP object injections issues when a high privilege user import (intentionally or not) a malicious Customizer Styling file and a suitable gadget chain is present on the blog.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://wpscan.com/vulnerability/22fd3f28-9036-4bd5-ad98-ff78bd1b51bc

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	oceanwp	ocean_extra	*		Up to (excluding) 2.0.5
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	kernel	*		Up to (excluding) 4.19.91-27.5.al7
	运行在以下环境
	系统	alibaba_cloud_linux_3	kernel	*		Up to (excluding) 5.10.134-12.al8
	运行在以下环境
	系统	alma_linux_9	kernel	*		Up to (excluding) 5.14.0-284.11.1.rt14.296.el9_2
	运行在以下环境
	系统	amazon_2	kernel	*		Up to (excluding) 4.14.287-215.504.amzn2
	运行在以下环境
	系统	amazon_2022	kernel	*		Up to (excluding) 5.15.73-45.135.amzn2022
	运行在以下环境
	系统	amazon_2023	kernel	*		Up to (excluding) 6.1.10-15.42-1.0-0.amzn2023
	运行在以下环境
	系统	amazon_AMI	kernel	*		Up to (excluding) 4.14.287-148.504.amzn1
	运行在以下环境
	系统	fedora_35	xen	*		Up to (excluding) 4.15.3-4.fc35
	运行在以下环境
	系统	fedora_36	xen	*		Up to (excluding) 4.16.1-5.fc36
	运行在以下环境
	系统	fedora_37	xen	*		Up to (excluding) 4.16.2-2.fc37
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	kernel	*		Up to (excluding) 4.19.90-25.18.v2101.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	kernel	*		Up to (excluding) 4.19.90-25.18.v2101.ky10
	运行在以下环境
	系统	opensuse_5.2	kernel	*		Up to (excluding) 5.3.18-150300.99.1
	运行在以下环境
	系统	opensuse_Leap_15.3	xen	*		Up to (excluding) 4.14.5_06-150300.3.35.1
	运行在以下环境
	系统	opensuse_Leap_15.4	xen	*		Up to (excluding) 4.16.1_06-150400.4.8.1
	运行在以下环境
	系统	oracle_9	kernel	*		Up to (excluding) 5.14.0-284.11.1.el9_2
	运行在以下环境
	系统	redhat_9	kernel	*		Up to (excluding) 5.14.0-284.11.1.el9_2
	运行在以下环境
	系统	suse_12_SP5	xen	*		Up to (excluding) 4.12.4_28-3.77.1

攻击路径

网络
攻击复杂度

低
权限要求

高
影响范围

未更改
用户交互

无
可用性

高
保密性

高
完整性

高

CWE-ID	漏洞类型
CWE-502	可信数据的反序列化

oceanwp ocean_extra 可信数据的反序列化

漏洞描述

解决建议

参考链接

受影响软件情况